Eccoci anche questa settimana per un interessante rubrica redatta dal nostro Avvocato Gian Carlo Soave. Il tema è molto caldo e di forte attualità.

Domanda: Gentile Avvocato, cosa è il cyber risk e come ci si può tutelare da esso?

Risposta: I rischi informatici (cyber risk) costituiscono una grave minaccia per le imprese che utilizzano in modo sempre più massiccio le tecnologie informatiche per assicurare una comunicazione ed un trasferimento dati in tempo reale con soggetti localizzati in ogni parte del mondo. Diventa, dunque, fondamentale adottare efficaci strumenti di gestione del rischio informatico (cyber risk management) in quanto da essi possono dipendere le sorti stesse dell’impresa.

L’evoluzione delle tecnologie ha fatto sì che la sicurezza si sposti dalla protezione della rete aziendale alla difesa dei singoli dati, non più custoditi in un unico server centrale (l’impresa) ma presenti nei personal computer e nei tablet delle persone e, quindi, trasmissibili anche al di fuori della rete aziendale con un più alto livello di rischio. La protezione del dato e non solo dell’impresa è il modo migliore per controllare i propri dati e difendere l’impresa stessa.
La cultura del rischio informatico è, però, limitata: le imprese, infatti, ritengono sufficiente per difendersi dal cyber risk stipulare tradizionali polizze assicurative che, in realtà, coprono solo i danni materiali dovuti ad eventi naturali (incendi, terremoti, allagamenti, ecc) ed i conseguenti danni indiretti, ma non coprono i danni immateriali che rappresentano la più pericolosa forma di cyber risk e le perdite dati e/o trasfigurazione degli stesse derivanti da eventi quali virus informatico ed errore umano. Inoltre, le polizze tradizionali si basano su un concetto di territorialità del rischio, mentre con la digitalizzazione delle informazioni è venuto meno tale concetto.
La gestione dei dati di un’impresa italiana potrebbe, infatti, essere tenuta da un soggetto (outsourcer) localizzato dall’altra parte del mondo e privo di copertura assicurativa.
Per queste ragioni le imprese devono adottare polizze assicurative che tutelino i moderni cyber risk anche con riferimento ad errori commessi da outsourcer e che possano indennizzare nuove fattispecie di rischio.
Tra i rischi più diffusi vi sono i furti di identità, di proprietà intellettuale, di informazioni riservate, la violazione delle reti informatiche, il danno alla reputazione, furto o manipolazione dei dati sensibili, download e diffusione di virus nei computer che possono distruggere o bloccare le operazioni aziendali, il phishing (tecnica idonea a carpire fraudolentemente dati personali sensibili per accedere ai conti correnti di terzi).
 La copertura offerta dalle polizze cyber generalmente include il danneggiamento di dati aziendali, la violazione della privacy, l’estorsione, l’interruzione del servizio, il danno da reputazione.
La cyber insurance deve essere, però, solo una delle azioni tattiche adottate dai dirigenti delle imprese per proteggere i dati dell’impresa; infatti è’ sempre necessaria una strategia di protezione globale delle infrastrutture informatiche, per prevenire eventi che possono produrre danni di qualsiasi gravità al sistema.
Esistono anche polizze di protezione del cyber risk per le esigenze di difesa dai rischi attinenti alla tutela della privacy e dei dispositivi di sicurezza, come il furto di dati personali, di anagrafiche di clienti, registrazioni di carte di credito o sottrazione di computer contenenti dati sensibili, in relazione a grandi imprese e multinazionali.
In alcune polizze per la responsabilità civile può essere compresa la copertura Rc a seguito di un sinistro derivante da violazione della privacy e dei dispositivi di sicurezza; le spese sostenute dall’assicurato, tra cui i costi che questi potrebbe sostenere a seguito di un sinistro causato dalla violazione della privacy. Questa copertura può anche comprendere le spese per la conduzione di esami forensi sul sistema informatico della società al fine di determinare la causa o la portata della violazione della privacy; spese per pianificare e gestire una campagna di pubbliche relazioni volta a mitigare le conseguenze sfavorevoli derivanti dalla pubblicità negativa nel caso di violazioni della privacy; spese di sostituzione delle risorse digitali e la perdita di ricavi. In aggiunta alla copertura assicurativa, la polizza può prevedere la messa a disposizione di consulenza professionale urgente in ambito legale.

Il cyber risk non riguarda solo le grandi aziende: anche se sono per lo più le imprese a dover salvaguardare i dati che vengono loro dal mercato, la sicurezza informatica e, dunque, la difesa della nostra identità digitale, è una questione che deve coinvolge tutti, quali consumatori di servizi informatici.

 
Buon proseguimento
Avv. Gian Carlo Soave